Hello,
Danke!!! :-)
Bitte. Hatte heute Nachmittag etweas anderes zu tun. SOchnst hätte ich Dir auch geantwortet...
8<--
<form action="/tests/simple.php/"><script>alert('xss')</script><foo">
8<--
Das geht auch gänzlich ohne JavaScript.
Man kann mittels ['PHP_SELF'] den String dermaßen erweitern, dass das Action-Attribut auf ein anderes Request-Ziel zeigt. Das ist dann die Entführung...
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg